OpenVPN PKI: Site-to-Site инструкция для обсуждения
-
Вот лог, когда подключился, сеть центрального офиса пинговать я не мог…
Apr 8 12:07:03 openvpn: user 'User' authenticated
Apr 8 12:07:03 openvpn[96712]: 95.37.126.124:17483 [User] Peer Connection Initiated with [AF_INET]95.37.126.124:17483
Apr 8 12:07:03 openvpn[96712]: User/95.37.126.124:17483 MULTI_sva: pool returned IPv4=10.200.0.6, IPv6=(Not enabled)
Apr 8 12:07:05 openvpn[96712]: User/95.37.126.124:17483 send_push_reply(): safe_cap=940
Apr 8 12:18:48 openvpn[96712]: User/95.37.126.124:17483 [User] Inactivity timeout (–ping-restart), restarting -
Apr 8 14:49:56 openvpn: user 'User' authenticated
Apr 8 14:49:56 openvpn[99997]: 79.126.25.160:5272 [User] Peer Connection Initiated with [AF_INET]79.126.25.160:5272
Apr 8 14:49:56 openvpn[99997]: User/79.126.25.160:5272 MULTI_sva: pool returned IPv4=10.200.0.6, IPv6=(Not enabled)
Apr 8 14:49:58 openvpn[99997]: User/79.126.25.160:5272 send_push_reply(): safe_cap=940Ни чего не пингуется совсем
-
-
На TomatoUSB в конфиг добавьте директиву pull
Это где делается ?
И как в томато вообще править конфиг, тама же всё через web делается -
Скрины правил fw на LAN, WAN и OpenVPN покажите.
-
Скрины правил fw на LAN, WAN и OpenVPN покажите.
http://i069.radikal.ru/1404/06/2ed5e43c3635.png
http://s43.radikal.ru/i099/1404/78/45f0c9a98704.png
http://s019.radikal.ru/i614/1404/7d/fa3431ce47ae.png -
Прикрепите скрины здесь, пож-та.
-
-
-
Вкладка Advanced –> Custom options в настройке Client 1 на TomatoUSB
P.s. Не мучайтесь с сертификатами. Сделайте авторизацию по Static key. Куда уж проще ?
-
Вкладка Advanced –> Custom options в настройке Client 1 на TomatoUSB
P.s. Не мучайтесь с сертификатами. Сделайте авторизацию по Static key. Куда уж проще ?
А что конкретно прописать то нужно ? просто слово pull ?
Routing table
Напомню:
192.168.0.0\24 - Центральный офис
192.168.5.0\24 - Удалённый офис
10.200.0.0 OpenVPN -
Хм..У вас же OpenVPN-линк поднялся судя по скринам. Смотрите настройки fw на клиентах\отключите временно все fw .
Проверяйте telnet-ом (а не только ping-ом).P.s. Покажите скрин таблицы марш-ции на pfsense при поднятом OpenVPN. Плюс скрин Basic на TomatoUSB (Client1)
-
Хм..У вас же OpenVPN-линк поднялся судя по скринам. Смотрите настройки fw на клиентах\отключите временно все fw .
Проверяйте telnet-ом (а не только ping-ом).P.s. Покажите скрин таблицы марш-ции на pfsense при поднятом OpenVPN. Плюс скрин Basic на TomatoUSB (Client1)
-
Что traceroute говорит с обеих сторон ? Где "затык" ?
-
Что traceroute говорит с обеих сторон ? Где "затык" ?
с обеих старон картина одна и таже, вот со стараны клиента:
Microsoft Windows [Version 6.1.7601]
Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.tracert 192.168.0.201
Трассировка маршрута к 192.168.0.201 с максимальным числом прыжков 30
1 <1 мс <1 мс 1 ms 192.168.5.3
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 ^C192.168.0.201 - pfsense центрального офиса
192.168.5.3 - TamatoUSB Удалённого клиента.
10.200.0.6 пингуется из центрального офиса и удалёного -
iroute добавляли на pfsense (вкладка client) ?
-
-
iroute добавляли на pfsense (вкладка client) ?
OpenVPN: Client Specific Override
OpenVPN Server
Что ещё показать ?
-
WizardsClient - точно существующий и правильный Common name ?
NAT на pfsense - автоматом стоит ?
Вручную маршруты на устройствах и клиентах не прописаны ? Проверяли этот момент?P.s. А шлюзами на обоих концах точно указаны Pfsense\TomatoUSB ? Проверьте этот момент.
-
Режим “Peer to Peer (SSL/TLS)” (PKI) несколько более сложен в настройке, чем PSK, но предоставляет большую безопасность, гибкость конфигурирования и отсутствие необходимости заводить отдельный экземпляр сервера OpenVPN для каждого клиента.
Если не трудно, может кто подскажет как это реализовать? Если можно с картинками. Есть работающая VPN, нужно подключить с этому серверу еще одного клиента, не порушив существующую связь.
